Приложение № 4

Настоящая Политика определяет основные принципы и меры обеспечения кибербезопасности при работе пользователей с Сервисом modme.uz и применяется ко всем клиентам, сотрудникам и партнёрам ООО «MODME» (ИНН 307442900).

Цель документа — обеспечение целостности, доступности и конфиденциальности данных, а также предотвращение инцидентов, связанных с утратой, изменением или несанкционированным раскрытием информации, обрабатываемой в Сервисе.

Настоящая Политика является приложением к Публичной оферте и Договору, размещается в открытом доступе на сайте https://modme.uz.

Политика составлена в соответствии с законодательством Республики Узбекистан о кибербезопасности, персональных данных и внутренними регламентами MODME.

При обеспечении безопасности данных MODME руководствуется следующими принципами:

• непрерывность защиты на всех этапах жизненного цикла Сервиса;
• конфиденциальность и предоставление доступа только уполномоченным лицам;
• целостность данных и программного кода;
• доступность Сервиса с минимальными простоями;
• прозрачное информирование пользователей о мерах защиты и значимых инцидентах;
• персональная ответственность лиц, имеющих доступ к системам MODME.

Технические меры включают использование защищённых протоколов связи HTTPS/SSL/TLS, резервное копирование данных, хранение данных на серверах в Республике Узбекистан, межсетевые экраны, антивирусную и anti-DDoS-защиту, регулярное обновление программного обеспечения и операционных систем.

Организационные меры включают ограничение доступа к административным панелям по IP-фильтрации, двухфакторную аутентификацию для сотрудников и партнёров, ротацию паролей и ключей доступа, ведение журналов событий и ежегодный аудит безопасности.

При выявлении признаков инцидента безопасности MODME фиксирует событие, блокирует источники угрозы, уведомляет затронутых клиентов, инициирует внутреннее расследование и устраняет последствия.

Ответственный за кибербезопасность подготавливает отчёт об инциденте и принимает меры по предотвращению аналогичных случаев.

Если инцидент затрагивает персональные данные или информационную инфраструктуру, MODME уведомляет Государственный центр по кибербезопасности и иные компетентные органы в установленном законом порядке.

Пользователи обязаны обеспечивать конфиденциальность логинов и паролей, не передавать доступ третьим лицам, использовать современные защищённые устройства и браузеры, а при подозрительной активности незамедлительно уведомлять службу поддержки MODME.

Пользователь несёт ответственность за действия, совершённые под его учётной записью, до момента уведомления MODME о компрометации доступа.

MODME привлекает только поставщиков услуг хостинга, связи, SMS-уведомлений и платёжных систем, обеспечивающих надлежащий уровень киберзащиты.

Передача данных третьим лицам осуществляется исключительно по договору и в соответствии с внутренними процедурами согласования и аудита безопасности.

Сотрудники MODME проходят инструктаж по вопросам кибербезопасности при приёме на работу и ежегодное повторное обучение.

Сотрудники подписывают обязательство о неразглашении конфиденциальной информации и персональных данных.

MODME проводит внутренние тесты и учения по реагированию на инциденты не реже одного раза в год.

Ответственным за организацию и контроль мер кибербезопасности является назначенное приказом лицо.

MODME осуществляет внутренний аудит кибербезопасности и передаёт отчёт директору компании не реже одного раза в год.

За нарушение требований Политики сотрудники и подрядчики несут дисциплинарную и иную ответственность в соответствии с законодательством и внутренними актами компании.

Настоящая Политика размещается в открытом доступе на сайте https://modme.uz в разделе «Документы».